IT全般統制は「システム開発・変更」「システム運用」「アクセス管理」「外部委託管理」に区分されます。その中でも、データの改ざん等のリスクが大きいため、「アクセス管理」は重要視されています。
監査法人からも、アクセス管理の状況について、詳細なヒアリングを受けたり、追加の証憑提供を求められることがあるのではないでしょうか。
今回は、IT全般統制の中でも、「アクセス管理」のポイントについて、解説していきたいと思います。
アクセス管理の概要
一口に「アクセス管理」といっても、いくつかの観点があります。その観点毎に統制状況の評価を行う必要があります。
観点としては、以下のようなものがあります。その観点毎に評価ポイントも見ていきます。
☑アカウントの申請・発行
入社や異動、退職等に伴い、担当者のアカウントを発行・変更・削除を適時に行っているかを確認します。
異動・退社した担当者のアカウントの発行、停止等の管理が適切になされていないと不正にアカウントが使用され、データの改ざんや漏えいが起きる危険性があります。
◆評価ポイント
・アカウントの発行・変更・削除の依頼記録が残っているか
・アカウントの発行・変更・削除の依頼に対し、承認が行われているか
・アカウントの発行・変更・削除が適時に行われているか
(不要なアカウントがそのままになっていないか)
・職務権限に応じ、アカウントが付与されているか
☑アカウントの棚卸
アカウントの点検を適宜実施し、長期間利用されていないアカウント等は削除しているか、その記録が保管されているかを確認します。
不要なアカウントが残っていると、そのアカウントを使用して、データの改ざんや不正な処理が起きる可能性があります。
◆評価ポイント
・アカウントの棚卸を定期的に実施し、記録を残しているか
(アカウントの棚卸は最低年1~2回、できれば四半期1回実施しているか)
・アカウントの棚卸結果をシステム部門の責任者、ユーザ部門の責任者が承認しているか
☑ログのモニタリング
アクセス記録を含めたログを収集し、必要な項目をモニタリングしているかを確認します。
運用状況や障害等のログが保管されていないと、問題発生の把握ができない可能性があります。
また、問題発生時の対応が遅れる危険性もあります。
◆評価ポイント
・システム運用担当者が、定期的にログのレビューを行っているか
・ログレビューを行った結果、不正処理などの問題が発生していないか
・ログレビューの結果をシステム部門の責任者が承認しているか
アクセス管理では、「アカウントの申請・発行」という事前の統制と「アカウントの棚卸」「ログの確認」といった事後の統制があり、それぞれを評価する必要があります。
アクセス管理の対象
アクセス管理と言うと、いわゆるアプリケーションのユーザ管理を思い浮かべるかもしれませんが、アプリケーション以外にも、IT全般統制として管理すべき対象はあります。
以下に、アプリケーション以外の管理対象を挙げていきます。
①ネットワーク
ネットワーク利用の対策がないと、不正侵入等が起きる危険性があります。
外部から接続する利用者を制限し、利用する際は承認後、アクセスを許可するという手続が必要となります。また、不正アクセス等が無いか、定期的なモニタリングも重要です。
②データベース
直接データを修正できるため、データの改ざんや破壊といったリスクがあります。
データの修正を行う際は、申請書を提出し、承認後に作業を実施するといった運用が必要です。
データ修正の作業を行った後、不要な処理を行っていないか監視することも求められます。
③サーバールーム(データセンター)
サーバールームやデータセンター等、データを保管している施設ヘのアクセス関して、入室できる担当者を制限し、適切なIDの付与と認証を実施することが必要です。
施設ヘのアクセスに制限がなければ、関係者でない人物によって重要な財務情報がアクセスされたり、改ざんされたりするリスクがあります。
④パスワード
他人に分からないようなパスワードを設定する必要があります。(桁数や半角英数字の制限、定期的なパスワード変更等)
脆弱なパスワード設定であると、権限のない人物が財務情報に関連するシステムを操作できる可能性が高まり、データの改ざんや不正な参照が起きる危険性があります。
IT全般統制の評価としては、上記の管理対象に対し、必要なルールが定められており、ルールに沿い、運用されているかを確認します。
評価においては、「記録や証跡が残っているか」「権限者の承認を受けているか」がポイントになります。
特権IDの管理
アクセス管理の中でも、いわゆる「特権ID」と呼ばれる高権限を持ったアカウントの管理状況を監査法人から指摘されるケースは多くあります。
特権IDとは、マスターデータ等の作成、変更、削除が可能な特別なIDを持ったアカウントを指します。
プログラムやデータベース等の修正権限をもつアカウントを指します。
以下のようなアカウントは、特権IDとして扱われるため、厳重に管理するべきです。
・アプリケーションレベルのオールマイティ権限
全てのデータやプログラムの修正や機能やアカウントの設定等が可能な権限
・ネットワークの管理者権限
社外ネットワーク、社内ネットワークのアクセスに関する設定ができる権限
・データベースのアクセス権限
データの参照だけでなくデータの直接修正も可能な権限
・OSの変更権限
OSの設定変更(バージョンアップ・パッチ適用・パラメータ変更)が可能である権限
特権IDの管理方法としては、以下があります。
①利用者の限定
システム部門の担当者、ITベンダーの担当者等、特権IDを有する担当者を限定します。
また、誰が特権IDを持っているかを明文化することも必要です。
②作業結果の文書化・承認
特権IDを利用して作業を行った結果を記録に残します。
また、作業結果については、システム部門責任者の承認を得る必要があります。
③特権IDの都度貸出
特権IDを常時利用できる状態にするのではなく、利用する都度、システム部門責任者の承認を受けた上で利用します。
都度申請する手間はかかりますが、利用する機会が限定されるため、対策として有効です。
④利用状況のモニタリング
特権IDを利用した結果について、ログを閲覧し、モニタリングを行います。
作業結果の記録と照合しながら、不要な処理が行われていないかを確認します。
特権IDの管理において、押さえるべきポイントとしては、利用者を限定する等の「事前の統制」と作業結果のモニタリング等の「事後の統制」になります。
「事前の統制」の方が効果が高いので、できるだけ「事前の統制」を強化することを検討するべきです。
「アクセス管理」については、イメージはつくものの、どこまでの管理や評価を行うべきかが悩ましいという声を聞くことがあります。リスクを0にするのは不可能であるため、費用対効果を考慮しながら、いかにリスクを低減するかがポイントになります。
IT全般統制の評価ポイントとしては、定められた方針やルールに沿い、運用が行われているかを確認することです。
今回のブログの観点を踏まえながら、「アクセス管理」の現状を見直してみてはいかがでしょうか。
まとめ
アクセス管理の概要
☑「アカウントの申請・発行」「アカウントの棚卸」「ログのモニタリング」という観点で管理を行う。
☑事前の統制と事後の統制があり、それぞれの統制における評価を行う。
アクセス管理の対象
☑「ネットワーク」「データベース」「サーバールーム(データセンター)」「パスワード」という管理対象毎に評価を行う。
☑管理対象毎に「記録や証跡が残っているか」「権限者の承認を受けているか」を評価する。
特権IDの管理
☑特権IDとは、マスターデータ等の作成、変更、削除が可能な特別なIDを持ったアカウントを指す。
☑特権IDの管理は、費用対効果を考慮し、いかにリスクを低減するかを検討する。
なお、IT統制の評価方法については、以下も参照してください。
内部監査部門の泣き所!IT統制を克服するためのポイント